Skryté nebezpečí číhá na uživatele oblíbeného Gmailu. Hackeři do něj vkládají neviditelný text, aby ukradli přístupové údaje
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Hackeři zneužívají umělou inteligenci přímo v nástrojích Googlu a dokážou tak nenápadně vylákat hesla či přimět uživatele k volání na podvodná čísla.
Útočníci přišli na to, jak manipulovat s nástrojem Google Gemini, vestavěnou AI pro zpracování e-mailů. Co jsme si v redakci Mobify všimli, do běžně vypadajících zpráv vloží text s nulovou velikostí písma a bílou barvou, takže ho uživatel nevidí. Přesto je tento skrytý text přečten, když uživatel využije funkci „shrnutí e-mailu“. Gemini pak zobrazí falešné varování, třeba že byl váš účet napaden, a nabídne k řešení falešný kontakt na podporu Googlu.
Do e-mailu vloží text v bílé barvě a nulovou velikostí
Podvodníci zase vykoumali něco nového, tentokrát se zaměřili na umělou inteligenci Gemini. Když vloží do e-mailu uživatele neviditelný text, není dle výzkumníků z bezpečnostního týmu Mozilly (0Din) AI schopna rozeznat legitimní uživatelský dotaz, jako je shrnutí e-mailu, od tohoto vloženého příkazu hackera. V důsledku toho může být zmanipulována k tomu, aby generovala obsah, který přímo ohrožuje uživatele.
Znepokojuje nás, že tato technika není omezená jen na Gmail. Jelikož je Gemini propojeno i s dalšími službami Googlu, jako jsou Dokumenty či Kalendář, existuje riziko mnohem většího zneužití. To by mohlo otevřít cestu k získání velkého množství citlivých informací, například pracovních smluv nebo plánů schůzek, informoval theSun.
Dříve bylo jednodušší podvody rozeznat
Z pohledu redakce Mobify jde o ukázkový příklad toho, jak rychle se kyberzločinci přizpůsobují novým technologiím. Před pár lety dominovaly e-mailové phishingy s gramatickými chybami a podezřelými odkazy. Dnes už jsou útoky propracovanější, využívají slabin v AI a často vypadají jako legitimní zprávy od známých firem. A právě proto se lidé snadno nechají nachytat.
Uživatelé tak budou muset změnit způsob, jakým k podobným nástrojům přistupují. Stejně jako se učíme rozpoznávat falešné SMS zprávy od údajných bank, bude nutné naučit se číst i výstupy z umělé inteligence.
Braňte se jednoduchými kroky
Pro ochranu doporučujeme hned několik kroků. Za prvé, firmy by měly nastavit své e-mailové klienty tak, aby dokázaly odhalit skrytý obsah v obsahu zpráv. U běžných uživatelů je pak zásadní neklikat na žádné odkazy ani nevolat na čísla, která se objeví jen v generovaném souhrnu. Google už navíc upozornil, že žádná bezpečnostní oznámení přes Gemini nerozesílá – pokud se tedy objeví, jde o podvod.
Dobré je také využívat dvoufaktorové ověření a pravidelně měnit hesla. To sice neochrání před samotným trikem, ale dokáže omezit následky případného úniku údajů.
Zdroje
Autorský komentář Lukáše Altmana